최근 앤트로픽(Anthropic)이 자사의 AI 모델 클로드 코드(Claude Code)를 이용해 소프트웨어 취약점을 자율적으로 발견하고 수정하는 참조 도구(reference harness)를 공개했습니다. 이에 한 개발자가 이 유용한 도구를 깃허브 코파일럿(GitHub Copilot) CLI 환경에서도 사용할 수 있도록 성공적으로 이식하여, 코파일럿 사용자들도 AI 기반의 보안 에이전트를 구축할 수 있는 길을 열었습니다.
이 프로젝트는 앤트로픽의 원본 설계 철학을 그대로 유지합니다. 즉, C/C++ 코드의 메모리 안전성(memory-safety) 버그를 자동으로 찾아내고, 이를 검증하며, 보고하고, 심지어 패치까지 하는 일련의 자율 파이프라인을 제공합니다. 핵심적인 차이점은 에이전트 드라이버가 클로드 코드 대신 코파일럿 CLI(copilot -p)를 사용하고, 모든 스킬이 코파일럿 에이전트 스킬로 구현되었다는 점입니다. 인증, 외부 통신, 그리고 도구 활용 역시 앤트로픽 API 대신 깃허브 코파일럿 환경에 맞춰 조정되었습니다. 이식 과정의 상세한 내용은 'PORTING-PLAN.md' 문서에 기록되어 있으며, 개발자는 이 도구가 모든 코드베이스에 바로 적용되는 '제품'이 아닌, AI 보안 에이전트 개발을 위한 '참조'임을 강조합니다.
이러한 이식은 AI 기반 보안 도구의 접근성을 크게 확장한다는 점에서 중요합니다. 앤트로픽의 클로드 코드에만 국한되었던 강력한 취약점 발견 및 패치 방법론이 이제 깃허브 코파일럿 구독자들에게도 개방된 것입니다. 이는 보안 전문가뿐만 아니라 일반 개발자들도 AI를 활용하여 소프트웨어 보안을 강화할 수 있는 기회를 제공하며, 특히 1인 개발자나 소규모 팀이 자체적인 보안 에이전트를 구축하고 맞춤화할 수 있는 기반을 마련해 줍니다. 개발자는 이 도구를 활용해 위협 모델을 구축하고, 정적 스캔을 실행하며, 발견된 취약점을 분류하고, 심지어 패치까지 생성하는 과정을 단 며칠 만에 경험할 수 있다고 설명합니다.